Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bundestrojaner ohne Angesicherter Modus (https://www.trojaner-board.de/124573-bundestrojaner-ohne-angesicherter-modus.html)

Dave.13 23.09.2012 16:39
Bundestrojaner ohne Angesicherter Modus
 
Hey,
Ich habe mir auch den Bundestrojaner eingefangen. Ich habe aber ein Problem, dass bei dieser Version der Abgesicherte Modus nicht Funktioniert, also auch gesperrt wird. Also wollte ich fragen, was ich jetzt machen muss.
lg Dave
€: Sorry wegen dem Fehler im Titel, kann ihn nicht editen.

schrauber 24.09.2012 06:29
Hi,

Geht abgesicherter Modus mit Eingabeaufforderung?

Dave.13 24.09.2012 21:47
Hey schrauber,
Ja mit der Eingabeaufforderung funktionierts.
lg Dave

schrauber 25.09.2012 06:26
Ok, here we go:

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick.
Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter
    ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

Dave.13 25.09.2012 18:03
Hey,
Ich habe das Programm jetzt ausgeführt, doch kann ich immer noch nur auf den Abgesicherten Modus mit Einngabeaufforderung zugreifen.
lg Dave
Hier noch die Shell.txt:
Zitat:
WIN_7 X86 Service Pack 1
Running from E:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
services.exe
lsass.exe
lsm.exe
winlogon.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
ssonsvr.exe
cmd.exe
conhost.exe
ctfmon.exe
srep.exe


HKLM\..\Run [QLBController] = C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe /start
HKLM\..\Run [NUSB3MON] = "C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
HKLM\..\Run [SysTrayApp] = C:\Program Files\IDT\WDM\sttray.exe
HKLM\..\Run [SynTPEnh] = %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [SoftGridTray] = "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart
HKLM\..\Run [Dashboard] =
HKLM\..\Run [BCSSync] = "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
HKLM\..\Run [VMware hqtray] = "C:\Program Files\VMware\VMware Player\hqtray.exe"
HKLM\..\Run [] =
HKLM\..\Run [Adobe Acrobat Speed Launcher] = "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
HKLM\..\Run [Acrobat Assistant 8.0] = "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
HKLM\..\Run [McAfeeUpdaterUI] = "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
HKLM\..\Run [BGInfo] = C:\Program Files\BGInfo\BGInfo.exe C:\Program Files\BGInfo\iwp.bgi /NOLICPROMPT /TIMER:0 /SILENT
HKLM\..\Run [ShStatEXE] = "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE


HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-1078081533-1060284298-682003330-80130\..\Winlogon; Shell = explorer.exe,C:\Users\DStoeckli\AppData\Roaming\msconfig.dat
HKU\S-1-5-21-1078081533-1060284298-682003330-80130_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-3144951997-66755617-522657184-1004\..\Winlogon; Shell =
HKU\S-1-5-21-3144951997-66755617-522657184-1004_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1078081533-1060284298-682003330-80130\..\Run [Defender] = C:\Users\DSTOEC~1\AppData\Local\Temp\svchost.exe
HKU\S-1-5-21-1078081533-1060284298-682003330-80130\..\Run [csrss] = C:\Users\DSTOEC~1\AppData\Local\Temp\{43c1b92d-926f-6b41-aca0-fb1769f25ab1}\csrss.exe

==== FINISH 25.09-18.50 ====
WIN_7 X86 Service Pack 1
Running from E:\

HKLM\..\Winlogon; Shell = explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.


[System Process]
System
smss.exe
csrss.exe
wininit.exe
csrss.exe
services.exe
lsass.exe
lsm.exe
winlogon.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
ssonsvr.exe
cmd.exe
conhost.exe
ctfmon.exe
srep.exe


HKLM\..\Run [QLBController] = C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe /start
HKLM\..\Run [NUSB3MON] = "C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
HKLM\..\Run [SysTrayApp] = C:\Program Files\IDT\WDM\sttray.exe
HKLM\..\Run [SynTPEnh] = %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\..\Run [SoftGridTray] = "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart
HKLM\..\Run [Dashboard] =
HKLM\..\Run [BCSSync] = "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
HKLM\..\Run [VMware hqtray] = "C:\Program Files\VMware\VMware Player\hqtray.exe"
HKLM\..\Run [] =
HKLM\..\Run [Adobe Acrobat Speed Launcher] = "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"
HKLM\..\Run [Acrobat Assistant 8.0] = "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"
HKLM\..\Run [McAfeeUpdaterUI] = "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
HKLM\..\Run [BGInfo] = C:\Program Files\BGInfo\BGInfo.exe C:\Program Files\BGInfo\iwp.bgi /NOLICPROMPT /TIMER:0 /SILENT
HKLM\..\Run [ShStatEXE] = "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE


HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-19\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-21-1078081533-1060284298-682003330-80130\..\Winlogon; Shell = explorer.exe,C:\Users\DStoeckli\AppData\Roaming\msconfig.dat
HKU\S-1-5-21-1078081533-1060284298-682003330-80130_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-3144951997-66755617-522657184-1004\..\Winlogon; Shell =
HKU\S-1-5-21-3144951997-66755617-522657184-1004_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-19\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\..\Run [Sidebar] = %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-1078081533-1060284298-682003330-80130\..\Run [Defender] = C:\Users\DSTOEC~1\AppData\Local\Temp\svchost.exe
HKU\S-1-5-21-1078081533-1060284298-682003330-80130\..\Run [csrss] = C:\Users\DSTOEC~1\AppData\Local\Temp\{43c1b92d-926f-6b41-aca0-fb1769f25ab1}\csrss.exe

==== FINISH 25.09-18.59 ====

schrauber 25.09.2012 18:08
Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick.

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und starte von der CD
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !!
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".


Wähle in den Reparaturoptionen Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Dave.13 25.09.2012 21:41
So, hab das jetzt auch gemacht.
lg Dave
Hier ist der Log:
Code:
Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 25-09-2012
Ran by SYSTEM at 25-09-2012 22:37:07
Running from F:\
Windows 7 Enterprise  Service Pack 1 (X86) OS Language: German Standard
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [QLBController] C:\Program Files\Hewlett-Packard\HP HotKey Support\QLBController.exe /start [318520 2011-05-13] (Hewlett-Packard Company)
HKLM\...\Run: [NUSB3MON] "C:\Program Files\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [113288 2012-06-25] (Renesas Electronics Corporation)
HKLM\...\Run: [SysTrayApp] C:\Program Files\IDT\WDM\sttray.exe [1138780 2012-06-25] (IDT, Inc.)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2274600 2012-06-25] (Synaptics Incorporated)
HKLM\...\Run: [SoftGridTray] "C:\Program Files\Microsoft Application Virtualization Client\SFTTray.exe" /autostart [853864 2011-08-02] (Microsoft Corporation)
HKLM\...\Run: [Dashboard]  [x]
HKLM\...\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices [91520 2010-03-13] (Microsoft Corporation)
HKLM\...\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Player\hqtray.exe" [64048 2010-01-22] (VMware, Inc.)
HKLM\...\Run: []  [x]
HKLM\...\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [36760 2011-09-05] (Adobe Systems Incorporated)
HKLM\...\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2904984 2011-09-05] (Adobe Systems Inc.)
HKLM\...\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey [333376 2011-11-15] (McAfee, Inc.)
HKLM\...\Run: [BGInfo] C:\Program Files\BGInfo\BGInfo.exe C:\Program Files\BGInfo\iwp.bgi /NOLICPROMPT /TIMER:0 /SILENT [871 2009-06-04] ()
HKLM\...\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE [215360 2011-09-14] (McAfee, Inc.)
HKU\DStoeckli\...\Run: [Defender] C:\Users\DSTOEC~1\AppData\Local\Temp\svchost.exe [1235968 2012-08-09] (Sun Microsystems)
HKU\DStoeckli\...\Run: [csrss] C:\Users\DSTOEC~1\AppData\Local\Temp\{43c1b92d-926f-6b41-aca0-fb1769f25ab1}\csrss.exe [x]
HKU\DStoeckli\...\Policies\system: [RunLogonScriptSync] 1
HKU\DStoeckli\...\Winlogon: [Shell] explorer.exe,C:\Users\DStoeckli\AppData\Roaming\msconfig.dat [104960 2011-11-17] ()
HKU\kthelpdeskbag\...\Policies\system: [RunLogonScriptSync] 1
HKU\kthelpdesknor\...\Policies\system: [RunLogonScriptSync] 1
HKLM\...\Runonce: [*WerKernelReporting] %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [x]
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,"C:\Program Files\Microsoft Application Virtualization Client\sftdcc.exe" [155496 2011-08-02] (Microsoft Corporation)
Winlogon\Notify\EUCWLX: EUCWLX.dll (McAfee)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

==================== Services (Whitelisted) ===================

2 CcmExec; C:\Windows\system32\CCM\CcmExec.exe [764768 2009-09-18] (Microsoft Corporation)
2 CVPND; "C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe" [1528616 2010-03-23] (Cisco Systems, Inc.)
2 hpHotkeyMonitor; C:\Program Files\Hewlett-Packard\HP Hotkey Support\HpHotkeyMonitor.exe [317496 2011-05-13] (Hewlett-Packard Company)
2 McAfeeFramework; "C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart [132672 2011-11-15] (McAfee, Inc.)
2 McShield; "C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe" [166024 2012-07-31] (McAfee, Inc.)
2 McTaskManager; "C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe" [209760 2011-09-14] (McAfee, Inc.)
2 mfevtp; "C:\Windows\system32\mfevtps.exe" [148520 2012-07-31] (McAfee, Inc.)
2 SanDisk DMS; "C:\Program Files\McAfee\Encrypted USB Client\SanDisk\dms.exe" [1763208 2010-07-27] (SanDisk)
2 SesamService; "C:\Program Files\Swisscom\Sesam\BIN\SecMIPService.exe" [1414440 2009-11-16] (Swisscom)
3 smstsmgr; C:\Windows\system32\CCM\TSManager.exe /service [246624 2009-09-18] (Microsoft Corporation)
2 SSDEUC; "C:\Program Files\McAfee\Encrypted USB Client\SSDEUC.exe" [3624960 2011-06-29] (McAfee)
2 STacSV; C:\Program Files\IDT\WDM\STacSV.exe [274514 2012-06-25] (IDT, Inc.)
2 UDM Service; "C:\Program Files\Swisscom\Unlimited Data Manager\DashBoardS.exe" [128296 2009-12-10] (Swisscom)
2 USBDLM; "C:\Program Files\USBDLM\USBDLM.exe" [314880 2011-02-25] (Uwe Sieber - www.uwe-sieber.de)
2 VMAuthdService; "C:\Program Files\VMware\VMware Player\vmware-authd.exe" [113200 2010-01-22] (VMware, Inc.)
2 VMUSBArbService; "C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exe" [609904 2011-06-01] (VMware, Inc.)
3 ufad-ws60; "C:\Program Files\VMware\VMware Player\vmware-ufad.exe" -d "C:\Program Files\VMware\VMware Player\\" -s ufad-p2v.xml [x]

==================== Drivers (Whitelisted) ====================

3 CVirtA; C:\Windows\System32\DRIVERS\CVirtA.sys [5275 2007-01-18] (Cisco Systems, Inc.)
2 CVPNDRVA; \??\C:\Windows\system32\Drivers\CVPNDRVA.sys [308859 2010-03-23] (Cisco Systems, Inc.)
3 DNE; C:\Windows\System32\DRIVERS\dne2000.sys [131984 2008-11-16] (Deterministic Networks, Inc.)
3 e1cexpress; C:\Windows\System32\DRIVERS\e1c6232.sys [262824 2012-06-25] (Intel Corporation)
2 hcmon; \??\C:\Windows\system32\drivers\hcmon.sys [32880 2011-06-01] (VMware, Inc.)
3 MEI; C:\Windows\system32\drivers\HECI.sys [41088 2012-06-25] (Intel Corporation)
3 mfeapfk; C:\Windows\System32\drivers\mfeapfk.sys [119968 2012-07-31] (McAfee, Inc.)
3 mfeavfk; C:\Windows\System32\drivers\mfeavfk.sys [180072 2012-07-31] (McAfee, Inc.)
3 mfebopk; C:\Windows\System32\drivers\mfebopk.sys [59288 2012-07-31] (McAfee, Inc.)
0 mfehidk; C:\Windows\System32\drivers\mfehidk.sys [461864 2012-07-31] (McAfee, Inc.)
3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [87808 2012-07-31] (McAfee, Inc.)
0 mfewfpk; C:\Windows\System32\drivers\mfewfpk.sys [164840 2012-07-31] (McAfee, Inc.)
3 NETwNs32; C:\Windows\System32\DRIVERS\NETwNs32.sys [7435264 2012-06-25] (Intel Corporation)
3 nusb3hub; C:\Windows\system32\drivers\nusb3hub.sys [62336 2012-06-25] (Renesas Electronics Corporation)
3 nusb3xhc; C:\Windows\system32\drivers\nusb3xhc.sys [141440 2012-06-25] (Renesas Electronics Corporation)
3 prepdrvr; \??\C:\Windows\system32\CCM\prepdrv.sys [20848 2009-09-18] (Microsoft Corporation)
3 Sftfs; C:\Windows\System32\DRIVERS\Sftfswin7.sys [578408 2011-08-02] (Microsoft Corporation)
3 Sftplay; C:\Windows\System32\DRIVERS\Sftplaywin7.sys [194408 2011-08-02] (Microsoft Corporation)
3 Sftredir; C:\Windows\System32\DRIVERS\Sftredirwin7.sys [21864 2011-08-02] (Microsoft Corporation)
3 Sftvol; C:\Windows\System32\DRIVERS\Sftvolwin7.sys [19304 2011-08-02] (Microsoft Corporation)
2 vmci; \??\C:\Windows\system32\Drivers\vmci.sys [70704 2010-01-22] (VMware, Inc.)
3 vmkbd; \??\C:\Windows\system32\drivers\VMkbd.sys [23216 2010-01-22] (VMware, Inc.)
3 VMnetAdapter; C:\Windows\System32\DRIVERS\vmnetadapter.sys [16560 2010-01-22] (VMware, Inc.)
2 VMnetBridge; C:\Windows\System32\DRIVERS\vmnetbridge.sys [36400 2010-01-22] (VMware, Inc.)
2 VMnetuserif; \??\C:\Windows\system32\drivers\vmnetuserif.sys [26288 2010-01-22] (VMware, Inc.)
2 VMparport; \??\C:\Windows\system32\Drivers\VMparport.sys [14896 2010-01-22] (VMware, Inc.)
2 vmx86; \??\C:\Windows\system32\Drivers\vmx86.sys [854192 2010-01-22] (VMware, Inc.)
2 vstor2-ws60; \??\C:\Program Files\VMware\VMware Player\vstor2-ws60.sys [22448 2009-10-12] (VMware, Inc.)
3 wtsmpadap; C:\Windows\System32\DRIVERS\wtsmpadap.sys [39720 2009-07-20] (Swisscom)
3 WtSmpFlt; C:\Windows\System32\DRIVERS\wtsmpflt.sys [286760 2009-07-20] (Swisscom)
3 mfeavfk01;  [x]
3 VGPU; C:\Windows\System32\drivers\rdvgkmd.sys [x]

==================== NetSvcs (Whitelisted) ===================


==================== One Month Created Files and Folders ========

2012-09-25 22:36 - 2012-09-25 22:37 - 00000000 ____D C:\FRST
2012-09-21 23:18 - 2012-09-25 17:55 - 00000045 ____A C:\Users\DStoeckli\AppData\Roaming\msconfig.ini
2012-09-18 16:16 - 2012-09-18 16:17 - 00372600 ____A C:\Windows\Minidump\091812-18080-01.dmp
2012-09-16 14:20 - 2012-09-16 14:20 - 00148744 ____A C:\Windows\Minidump\091612-18002-01.dmp
2012-09-14 15:22 - 2012-09-14 16:28 - 00010250 ____A C:\Users\DStoeckli\Desktop\patchen2.xlsx
2012-09-12 17:34 - 2012-09-12 17:34 - 00405792 ____A C:\Windows\Minidump\091212-18782-01.dmp
2012-09-12 16:23 - 2012-09-13 17:48 - 00010012 ____A C:\Users\DStoeckli\Desktop\Patchen.xlsx
2012-09-12 11:12 - 2012-09-12 11:17 - 00000000 ____D C:\Users\DStoeckli\Desktop\Verträge
2012-09-09 21:57 - 2012-09-09 21:57 - 00506696 ____A C:\Windows\Minidump\090912-18470-01.dmp
2012-09-05 21:04 - 2012-09-05 21:05 - 00406336 ____A C:\Windows\Minidump\090512-18142-01.dmp
2012-09-05 07:59 - 2012-07-04 22:16 - 00057344 ____A (Microsoft Corporation) C:\Windows\System32\netapi32.dll
2012-09-05 07:59 - 2012-07-04 22:14 - 00102912 ____A (Microsoft Corporation) C:\Windows\System32\browser.dll
2012-09-05 07:59 - 2012-07-04 22:14 - 00041984 ____A (Microsoft Corporation) C:\Windows\System32\browcli.dll
2012-09-05 07:59 - 2012-05-14 05:33 - 00769024 ____A (Microsoft Corporation) C:\Windows\System32\localspl.dll
2012-08-30 08:16 - 2012-08-30 08:17 - 00000000 ____D C:\Users\DStoeckli\AppData\Roaming\Notepad++
2012-08-30 08:13 - 2012-08-30 08:22 - 00027458 ____A C:\Users\Localadmin\Documents\netapp.csv
2012-08-30 07:56 - 2012-08-30 08:13 - 00000000 ____D C:\Users\Localadmin\AppData\Roaming\Notepad++
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\Localadmin\Desktop\Notepad++.lnk
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\kthelpdesknor\Desktop\Notepad++.lnk
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\kthelpdeskbag\Desktop\Notepad++.lnk
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\DStoeckli\Desktop\Notepad++.lnk
2012-08-30 07:55 - 2012-08-30 07:55 - 05825691 ____A C:\Users\DStoeckli\Downloads\npp.6.1.6.Installer.exe
2012-08-30 07:18 - 2012-06-29 01:52 - 12317184 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-08-30 07:18 - 2012-06-29 01:27 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-08-30 07:18 - 2012-06-29 01:16 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-08-30 07:18 - 2012-06-29 01:09 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-08-30 07:18 - 2012-06-29 01:09 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-08-30 07:18 - 2012-06-29 01:08 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-08-30 07:18 - 2012-06-29 01:07 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-08-30 07:18 - 2012-06-29 01:06 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-08-30 07:18 - 2012-06-29 01:04 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-08-30 07:18 - 2012-06-29 01:04 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-08-30 07:18 - 2012-06-29 01:01 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-08-30 07:18 - 2012-06-29 01:01 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-08-30 07:18 - 2012-06-29 01:00 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-08-30 07:18 - 2012-06-29 00:57 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-08-30 07:17 - 2012-08-30 07:17 - 00000000 __SHD C:\Windows\System32\%APPDATA%
2012-08-29 16:20 - 2012-08-29 16:20 - 00363320 ____A C:\Windows\Minidump\082912-42557-01.dmp
2012-08-26 21:42 - 2012-08-26 21:42 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_User_WpdFs_01_09_00.Wdf

==================== 3 Months Modified Files ==================

2012-09-25 21:32 - 2012-07-23 07:30 - 01131029 ____A C:\Windows\WindowsUpdate.log
2012-09-25 21:11 - 2012-06-25 11:11 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2012-09-25 18:29 - 2010-11-20 22:01 - 01669426 ____A C:\Windows\System32\PerfStringBackup.INI
2012-09-25 18:12 - 2009-07-14 05:34 - 00023808 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-09-25 18:12 - 2009-07-14 05:34 - 00023808 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-09-25 18:00 - 2012-06-25 10:38 - 00000506 ____A C:\Windows\SMSCFG.INI
2012-09-25 18:00 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-09-25 18:00 - 2009-07-14 05:39 - 00030911 ____A C:\Windows\setupact.log
2012-09-25 17:55 - 2012-09-21 23:18 - 00000045 ____A C:\Users\DStoeckli\AppData\Roaming\msconfig.ini
2012-09-18 16:17 - 2012-09-18 16:16 - 00372600 ____A C:\Windows\Minidump\091812-18080-01.dmp
2012-09-18 16:16 - 2012-08-10 17:14 - 342056815 ____A C:\Windows\MEMORY.DMP
2012-09-16 14:20 - 2012-09-16 14:20 - 00148744 ____A C:\Windows\Minidump\091612-18002-01.dmp
2012-09-14 16:28 - 2012-09-14 15:22 - 00010250 ____A C:\Users\DStoeckli\Desktop\patchen2.xlsx
2012-09-14 15:22 - 2012-07-23 07:29 - 00000336 ____A C:\Windows\System32\config\netlogon.ftl
2012-09-13 17:48 - 2012-09-12 16:23 - 00010012 ____A C:\Users\DStoeckli\Desktop\Patchen.xlsx
2012-09-12 17:34 - 2012-09-12 17:34 - 00405792 ____A C:\Windows\Minidump\091212-18782-01.dmp
2012-09-09 21:57 - 2012-09-09 21:57 - 00506696 ____A C:\Windows\Minidump\090912-18470-01.dmp
2012-09-06 14:48 - 2012-07-23 08:49 - 00119384 _RASH C:\Users\All Users\ntuser.pol
2012-09-05 21:05 - 2012-09-05 21:04 - 00406336 ____A C:\Windows\Minidump\090512-18142-01.dmp
2012-09-05 09:34 - 2012-07-31 05:53 - 00000246 ___SH C:\Users\DStoeckli\ntuser.ini
2012-09-05 09:29 - 2012-07-31 05:53 - 00038818 _RASH C:\Users\DStoeckli\ntuser.pol
2012-08-30 08:22 - 2012-08-30 08:13 - 00027458 ____A C:\Users\Localadmin\Documents\netapp.csv
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\Localadmin\Desktop\Notepad++.lnk
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\kthelpdesknor\Desktop\Notepad++.lnk
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\kthelpdeskbag\Desktop\Notepad++.lnk
2012-08-30 07:56 - 2012-08-30 07:56 - 00001031 ____A C:\Users\DStoeckli\Desktop\Notepad++.lnk
2012-08-30 07:55 - 2012-08-30 07:55 - 05825691 ____A C:\Users\DStoeckli\Downloads\npp.6.1.6.Installer.exe
2012-08-30 07:21 - 2009-07-14 05:33 - 00445832 ____A C:\Windows\System32\FNTCACHE.DAT
2012-08-30 07:19 - 2012-07-23 07:59 - 00000039 ____A C:\Windows\vbaddin.ini
2012-08-29 16:20 - 2012-08-29 16:20 - 00363320 ____A C:\Windows\Minidump\082912-42557-01.dmp
2012-08-29 16:19 - 2010-11-20 22:48 - 00010068 ____A C:\Windows\PFRO.log
2012-08-29 14:59 - 2012-08-23 08:42 - 00423424 ____A C:\Users\DStoeckli\Desktop\Planer_2013.xlsx
2012-08-26 21:42 - 2012-08-26 21:42 - 00000000 ___AH C:\Windows\System32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
2012-08-24 16:35 - 2012-08-24 16:35 - 00620218 ____A C:\Users\DStoeckli\AppData\Roaming\lol12.exe
2012-08-24 16:21 - 2012-08-24 16:21 - 00386440 ____A C:\Windows\Minidump\082412-18205-01.dmp
2012-08-24 11:24 - 2012-08-24 11:24 - 00000000 ____A C:\Windows\HPMProp.INI
2012-08-23 22:04 - 2012-08-23 22:04 - 00389728 ____A C:\Windows\Minidump\082312-20716-01.dmp
2012-08-23 12:14 - 2012-08-23 12:14 - 00180232 ____A C:\Users\DStoeckli\AppData\Roaming\fk1xxx.e2ts
2012-08-22 16:19 - 2012-08-22 16:19 - 00389608 ____A C:\Windows\Minidump\082212-18064-01.dmp
2012-08-22 07:00 - 2012-08-22 07:00 - 00393400 ____A C:\Windows\Minidump\082212-17456-01.dmp
2012-08-17 15:59 - 2012-08-17 15:59 - 00388784 ____A C:\Windows\Minidump\081712-18610-01.dmp
2012-08-17 12:33 - 2012-08-17 12:33 - 2550913024 ___AH C:\Users\DStoeckli\Downloads\9200.16384.WIN8_RTM.120725-1247_X86FRE_ENTERPRISE_EVAL_EN-US-HRM_CENA_X86FREE_EN-US_DV5.ISO.dlm
2012-08-16 18:10 - 2012-08-16 18:10 - 00366944 ____A C:\Windows\Minidump\081612-17316-01.dmp
2012-08-16 14:58 - 2012-08-16 14:40 - 111111111 ____A C:\Users\DStoeckli\Downloads\W8.x86.RTM.DE.MSDN.915423.part03.rar
2012-08-16 12:09 - 2012-08-16 12:02 - 111111111 ____A C:\Users\DStoeckli\Downloads\W8.x86.RTM.DE.MSDN.915423.part02.rar
2012-08-16 10:53 - 2012-08-16 10:45 - 111111111 ____A C:\Users\DStoeckli\Downloads\W8.x86.RTM.DE.MSDN.915423.part01.rar
2012-08-16 10:48 - 2012-08-16 10:48 - 29326467 ____A C:\Users\DStoeckli\Downloads\JDownloaderPortable09421.zip
2012-08-15 23:45 - 2012-08-15 23:45 - 00506728 ____A C:\Windows\Minidump\081612-17503-01.dmp
2012-08-13 14:28 - 2012-08-10 09:36 - 00039910 _RASH C:\Users\kthelpdeskbag\ntuser.pol
2012-08-10 17:15 - 2012-08-10 17:14 - 00366944 ____A C:\Windows\Minidump\081012-20248-01.dmp
2012-08-10 10:06 - 2012-08-10 10:06 - 13895680 ____A C:\Users\DStoeckli\Downloads\PowerGUI.3.2.0.2237.msi
2012-08-09 22:02 - 2012-08-07 20:56 - 01235968 ____A (Sun Microsystems) C:\Users\DStoeckli\AppData\Roaming\rundll32.exe
2012-08-06 15:08 - 2012-08-06 15:08 - 00001777 ____A C:\Users\DStoeckli\Desktop\03_Meine ersten 3 Wochen in der DIIN - Verknüpfung.lnk
2012-08-06 14:57 - 2012-08-06 14:57 - 00000955 ____A C:\Users\DStoeckli\Desktop\STD.lnk
2012-08-06 07:33 - 2012-08-09 15:16 - 00001942 ____A C:\Users\DStoeckli\Desktop\helpLine ClassicDesk.lnk
2012-08-06 07:31 - 2012-08-06 07:31 - 00001203 ____A C:\Users\DStoeckli\Desktop\SAP Logon.lnk
2012-08-06 07:27 - 2012-08-06 07:27 - 00119784 ____A C:\Users\DStoeckli\AppData\Local\GDIPFONTCACHEV1.DAT
2012-08-06 07:14 - 2012-08-06 07:14 - 03695416 ____A (Microsoft Corporation) C:\Windows\System32\ieapfltr.dat
2012-08-06 07:14 - 2012-08-06 07:14 - 00580608 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00434176 ____A (Microsoft Corporation) C:\Windows\System32\ieapfltr.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00367104 ____A (Microsoft Corporation) C:\Windows\System32\html.iec
2012-08-06 07:14 - 2012-08-06 07:14 - 00353792 ____A (Microsoft Corporation) C:\Windows\System32\dxtmsft.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00353584 ____A (Microsoft Corporation) C:\Windows\System32\iedkcs32.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00227840 ____A (Microsoft Corporation) C:\Windows\System32\ieaksie.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00223232 ____A (Microsoft Corporation) C:\Windows\System32\dxtrans.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00203776 ____A (Microsoft Corporation) C:\Windows\System32\webcheck.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00163840 ____A (Microsoft Corporation) C:\Windows\System32\ieakui.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00162304 ____A (Microsoft Corporation) C:\Windows\System32\msrating.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00161792 ____A (Microsoft Corporation) C:\Windows\System32\msls31.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00152064 ____A (Microsoft Corporation) C:\Windows\System32\wextract.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00150528 ____A (Microsoft Corporation) C:\Windows\System32\iexpress.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00130560 ____A (Microsoft Corporation) C:\Windows\System32\ieakeng.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00123392 ____A (Microsoft Corporation) C:\Windows\System32\occache.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00118784 ____A (Microsoft Corporation) C:\Windows\System32\iepeers.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00110592 ____A (Microsoft Corporation) C:\Windows\System32\IEAdvpack.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00101888 ____A (Microsoft Corporation) C:\Windows\System32\admparse.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00086528 ____A (Microsoft Corporation) C:\Windows\System32\iesysprep.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00078848 ____A (Microsoft Corporation) C:\Windows\System32\inseng.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00076800 ____A (Microsoft Corporation) C:\Windows\System32\SetIEInstalledDate.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00074752 ____A (Microsoft Corporation) C:\Windows\System32\RegisterIEPKEYs.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00074752 ____A (Microsoft Corporation) C:\Windows\System32\iesetup.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00074240 ____A (Microsoft Corporation) C:\Windows\System32\ie4uinit.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00066048 ____A (Microsoft Corporation) C:\Windows\System32\icardie.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00063488 ____A (Microsoft Corporation) C:\Windows\System32\tdc.ocx
2012-08-06 07:14 - 2012-08-06 07:14 - 00054272 ____A (Microsoft Corporation) C:\Windows\System32\pngfilt.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00048640 ____A (Microsoft Corporation) C:\Windows\System32\mshtmler.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00041472 ____A (Microsoft Corporation) C:\Windows\System32\msfeedsbs.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00035840 ____A (Microsoft Corporation) C:\Windows\System32\imgutil.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00031744 ____A (Microsoft Corporation) C:\Windows\System32\iernonce.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00023552 ____A (Microsoft Corporation) C:\Windows\System32\licmgr10.dll
2012-08-06 07:14 - 2012-08-06 07:14 - 00011776 ____A (Microsoft Corporation) C:\Windows\System32\mshta.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00010752 ____A (Microsoft Corporation) C:\Windows\System32\msfeedssync.exe
2012-08-06 07:14 - 2012-08-06 07:14 - 00003826 ____A C:\Windows\IE9_main.log
2012-07-31 06:19 - 2012-07-31 06:19 - 00461864 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mfehidk.sys
2012-07-31 06:19 - 2012-07-31 06:19 - 00180072 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mfeavfk.sys
2012-07-31 06:19 - 2012-07-31 06:19 - 00164840 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mfewfpk.sys
2012-07-31 06:19 - 2012-07-31 06:19 - 00148520 ____A (McAfee, Inc.) C:\Windows\System32\mfevtps.exe
2012-07-31 06:19 - 2012-07-31 06:19 - 00119968 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mfeapfk.sys
2012-07-31 06:19 - 2012-07-31 06:19 - 00087808 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mferkdet.sys
2012-07-31 06:19 - 2012-07-31 06:19 - 00074848 ____A (McAfee, Inc.) C:\Windows\System32\MfeOtlkAddin.dll
2012-07-31 06:19 - 2012-07-31 06:19 - 00059288 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mfebopk.sys
2012-07-31 06:19 - 2012-07-31 06:19 - 00022816 ____A (McAfee, Inc.) C:\Windows\System32\MFEOtlk.dll
2012-07-31 06:19 - 2012-07-31 06:19 - 00009344 ____A (McAfee, Inc.) C:\Windows\System32\Drivers\mfeclnk.sys
2012-07-31 05:51 - 2012-07-23 08:50 - 00039910 _RASH C:\Users\kthelpdesknor\ntuser.pol
2012-07-23 08:42 - 2012-07-23 08:42 - 00263278 ____A C:\Windows\msxml4-KB2721691-deu.LOG
2012-07-23 08:41 - 2009-07-14 03:04 - 00000478 ____A C:\Windows\win.ini
2012-07-23 08:27 - 2012-07-23 08:27 - 00001737 ____A C:\Windows\LU.mif
2012-07-23 08:27 - 2009-07-14 03:04 - 00021259 ____A C:\Windows\System32\Drivers\etc\services
2012-07-23 08:26 - 2012-07-23 08:27 - 08847360 ____A (IBM Corporation and others) C:\Windows\System32\icudt34.dll
2012-07-23 08:26 - 2012-07-23 08:27 - 05098496 ____A (SAP AG) C:\Windows\System32\librfc32u.dll
2012-07-23 08:26 - 2012-07-23 08:27 - 00946176 ____A (IBM Corporation and others) C:\Windows\System32\icuuc34.dll
2012-07-23 08:26 - 2012-07-23 08:27 - 00843776 ____A (IBM Corporation and others) C:\Windows\System32\icuin34.dll
2012-07-23 08:26 - 2012-07-23 08:27 - 00721168 ____A (Microsoft Corporation) C:\Windows\System32\vb40032.dll
2012-07-23 08:26 - 2012-07-23 08:27 - 00089600 ____A (SAP AG) C:\Windows\System32\libsapu16vc90.dll
2012-07-23 08:26 - 2012-07-23 08:27 - 00068640 ____A (MicroHelp, Inc.) C:\Windows\System32\Gauge32.OCX
2012-07-23 08:26 - 2012-07-23 08:27 - 00001818 ____A C:\Windows\System32\icu_license.txt
2012-07-23 08:26 - 2012-07-23 08:26 - 04237312 ____A (SAP AG) C:\Windows\System32\librfc32.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 01708648 ____A (SAP, Walldorf) C:\Windows\System32\SAPbtmp.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 01355776 ____A (Microsoft Corporation) C:\Windows\System32\msvbvm50.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 00614992 ____A (Microsoft Corporation) C:\Windows\System32\comctl32.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00443488 ____A (Microsoft Corporation) C:\Windows\System32\mshflxgd.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00415552 ____A (Microsoft Corporation ) C:\Windows\System32\comct332.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00278352 ____A (Microsoft Corporation) C:\Windows\System32\msdatgrd.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00258880 ____A (Microsoft Corporation) C:\Windows\System32\msflxgrd.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00221504 ____A (Microsoft Corporation) C:\Windows\System32\tabctl32.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00218432 ____A (Microsoft Corporation) C:\Windows\System32\richtx32.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00170080 ____A (Microsoft Corporation) C:\Windows\System32\comct232.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00150528 ____A (Microsoft Corporation) C:\Windows\System32\tlbinf32.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 00133904 ____A (Microsoft Corporation) C:\Windows\System32\mfcans32.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 00129872 ____A (Microsoft Corporation) C:\Windows\System32\msstdfmt.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 00094744 ____A (Microsoft Corporation) C:\Windows\System32\grid32.ocx
2012-07-23 08:26 - 2012-07-23 08:26 - 00094208 ____A (Microsoft Corporation) C:\Windows\System32\msstkprp.dll
2012-07-23 08:26 - 2012-07-23 08:26 - 00067376 ____A (Microsoft Corporation) C:\Windows\System32\sysinfo.ocx
2012-07-23 08:26 - 2012-06-25 11:12 - 00155984 ____A (Microsoft Corporation) C:\Windows\System32\comdlg32.OCX
2012-07-23 08:25 - 2011-09-05 18:05 - 00089088 ____A (Microsoft Corporation) C:\Windows\System32\atl71.dll
2012-07-23 08:23 - 2012-07-23 08:27 - 01064960 ____A C:\Windows\System32\h5krnl32.dll
2012-07-23 08:23 - 2012-07-23 08:27 - 00188928 ____A C:\Windows\System32\h5icon32.dll
2012-07-23 08:23 - 2012-07-23 08:27 - 00175616 ____A C:\Windows\System32\h5menu32.dll
2012-07-23 08:23 - 2012-07-23 08:27 - 00114688 ____A (heilerSoftware) C:\Windows\System32\h5dlg32.dll
2012-07-23 08:23 - 2012-07-23 08:27 - 00095744 ____A C:\Windows\System32\h5rtf32.dll
2012-07-23 08:23 - 2012-07-23 08:27 - 00051200 ____A C:\Windows\System32\h5tool32.dll
2012-07-23 08:19 - 2012-06-25 10:57 - 00291018 ____A C:\Windows\DPINST.LOG
2012-07-23 07:56 - 2012-07-23 07:56 - 00061440 ____A (Brother Industries, Ltd.) C:\Windows\System32\AddinPtouch50_Icon.dll
2012-07-23 07:51 - 2012-07-23 07:51 - 00001024 ____A C:\.rnd
2012-07-23 07:50 - 2012-07-23 07:50 - 01060864 ____A (Microsoft Corporation) C:\Windows\System32\mfc71.dll
2012-07-23 07:50 - 2012-07-23 07:50 - 01047552 ____A (Microsoft Corporation) C:\Windows\System32\mfc71u.dll
2012-07-23 07:37 - 2012-07-23 07:37 - 00056847 ____A C:\Windows\udm_initialization.ini
2012-07-23 07:33 - 2012-07-23 07:33 - 00023116 ____A C:\Windows\System32\CcmFramework.ini
2012-07-23 07:33 - 2012-07-23 07:33 - 00000621 ____A C:\Windows\System32\CcmFramework.h
2012-07-23 07:33 - 2012-06-25 10:42 - 00001798 ____A C:\Windows\SMSAdvancedClient.sccm2007ac-sp2-kb977384-x86-icp1.mif
2012-07-23 07:29 - 2012-06-25 10:34 - 00003652 ____A C:\Windows\TSSysprep.log
2012-07-23 07:29 - 2009-07-14 05:34 - 00003806 ____A C:\Windows\DtcInstall.log
2012-07-23 07:27 - 2009-07-14 05:57 - 00025600 __ASH C:\Windows\System32\config\BCD-Template.LOG
2012-07-23 07:27 - 2009-07-14 05:52 - 00028672 ____A C:\Windows\System32\config\BCD-Template
2012-07-18 18:47 - 2012-08-22 07:04 - 02345984 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-07-04 22:16 - 2012-09-05 07:59 - 00057344 ____A (Microsoft Corporation) C:\Windows\System32\netapi32.dll
2012-07-04 22:14 - 2012-09-05 07:59 - 00102912 ____A (Microsoft Corporation) C:\Windows\System32\browser.dll
2012-07-04 22:14 - 2012-09-05 07:59 - 00041984 ____A (Microsoft Corporation) C:\Windows\System32\browcli.dll
2012-06-29 01:52 - 2012-08-30 07:18 - 12317184 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-06-29 01:27 - 2012-08-30 07:18 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-06-29 01:16 - 2012-08-30 07:18 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2012-06-29 01:09 - 2012-08-30 07:18 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-06-29 01:09 - 2012-08-30 07:18 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-06-29 01:08 - 2012-08-30 07:18 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2012-06-29 01:07 - 2012-08-30 07:18 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-06-29 01:06 - 2012-08-30 07:18 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-06-29 01:04 - 2012-08-30 07:18 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2012-06-29 01:04 - 2012-08-30 07:18 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2012-06-29 01:01 - 2012-08-30 07:18 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-06-29 01:01 - 2012-08-30 07:18 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-06-29 01:00 - 2012-08-30 07:18 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-06-29 00:57 - 2012-08-30 07:18 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll

==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2012-08-06 15:46:59
Restore point made on: 2012-08-10 10:09:13
Restore point made on: 2012-08-20 06:57:33
Restore point made on: 2012-08-27 23:32:39
Restore point made on: 2012-08-30 07:17:38
Restore point made on: 2012-09-06 07:26:34
Restore point made on: 2012-09-14 16:20:54
Restore point made on: 2012-09-21 03:00:27

==================== Memory info ===========================

Percentage of memory in use: 13%
Total physical RAM: 4046.36 MB
Available physical RAM: 3511.28 MB
Total Pagefile: 4044.64 MB
Available Pagefile: 3508.23 MB
Total Virtual: 2047.88 MB
Available Virtual: 1970.29 MB

==================== Partitions =============================

1 Drive c: (System) (Fixed) (Total:297.8 GB) (Free:256.93 GB) NTFS
2 Drive e: (CD_ROM) (CDROM) (Total:0.6 GB) (Free:0 GB) CDFS
3 Drive f: () (Removable) (Total:1.88 GB) (Free:1.46 GB) FAT
4 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
5 Drive y: () (Fixed) (Total:0.29 GB) (Free:0.25 GB) NTFS ==>[System with boot components (obtained from reading drive)]

  Datentr„ger ###  Status        Gr”áe    Frei    Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          298 GB      0 B       
  Datentr„ger 1    Online        1927 MB      0 B       

Partitions of Disk 0:
===============

Datentr„ger 0 ist jetzt der gew„hlte Datentr„ger.

  Partition ###  Typ              Gr”áe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Prim„r            300 MB  1024 KB
  Partition 2    Prim„r            297 GB  301 MB

=========================================================

Disk: 0
Datentr„ger 0 ist jetzt der gew„hlte Datentr„ger.

Partition 1
Typ      : 07
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS    Typ        Gr”áe    Status    Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1    Y                NTFS  Partition    300 MB  Fehlerfre         

=========================================================

Disk: 0
Datentr„ger 0 ist jetzt der gew„hlte Datentr„ger.

Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS    Typ        Gr”áe    Status    Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2    C  System      NTFS  Partition    297 GB  Fehlerfre         

=========================================================

Disk: 0
Datentr„ger 0 ist jetzt der gew„hlte Datentr„ger.

Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS    Typ        Gr”áe    Status    Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2    C  System      NTFS  Partition    297 GB  Fehlerfre         

=========================================================

Partitions of Disk 1:
===============

Datentr„ger 1 ist jetzt der gew„hlte Datentr„ger.

  Partition ###  Typ              Gr”áe    Offset
  -------------  ----------------  -------  -------
* Partition 1    Prim„r            1927 MB      0 B

=========================================================

Disk: 1
Datentr„ger 1 ist jetzt der gew„hlte Datentr„ger.

Es wurde keine Partition gew„hlt.

Es wurde keine Partition ausgew„hlt.
W„hlen Sie eine Partition, und wiederholen Sie den Vorgang.

=========================================================

Disk: 1
Datentr„ger 1 ist jetzt der gew„hlte Datentr„ger.

Es wurde keine Partition gew„hlt.

Es wurde keine Partition ausgew„hlt.
W„hlen Sie eine Partition, und wiederholen Sie den Vorgang.

=========================================================

Last Boot: 2012-09-18 18:11

==================== End Of Log ============================

schrauber 26.09.2012 04:11
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
HKU\DStoeckli\...\Run: [csrss] C:\Users\DSTOEC~1\AppData\Local\Temp\{43c1b92d-926f-6b41-aca0-fb1769f25ab1}\csrss.exe [x]
HKU\DStoeckli\...\Policies\system: [RunLogonScriptSync] 1
HKU\DStoeckli\...\Winlogon: [Shell] explorer.exe,C:\Users\DStoeckli\AppData\Roaming\msconfig.dat [104960 2011-11-17] ()
HKU\kthelpdeskbag\...\Policies\system: [RunLogonScriptSync] 1
HKU\kthelpdesknor\...\Policies\system: [RunLogonScriptSync] 1
2012-08-30 07:17 - 2012-08-30 07:17 - 00000000 __SHD C:\Windows\System32\%APPDATA%
Speichere diese bitte als Fixlist.txt auf deinem USB Stick.
  • Starte deinen Rechner erneut in die Reparaturoptionen
  • Starte nun die FRST.exe erneut und klicke den Fix Button.
Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Dave.13 26.09.2012 15:45
So Hier ist der Inhalt des Fixlogs:
Code:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 25-09-2012
Ran by SYSTEM at 2012-09-26 16:44:19 Run:1
Running from F:\

==============================================

HKEY_USERS\DStoeckli\Software\Microsoft\Windows\CurrentVersion\Run\\csrss Value deleted successfully.
HKEY_USERS\DStoeckli\Software\Microsoft\Windows\CurrentVersion\Policies\system\\RunLogonScriptSync Value deleted successfully.
HKEY_USERS\DStoeckli\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.
HKEY_USERS\kthelpdeskbag\Software\Microsoft\Windows\CurrentVersion\Policies\system\\RunLogonScriptSync Value deleted successfully.
HKEY_USERS\kthelpdesknor\Software\Microsoft\Windows\CurrentVersion\Policies\system\\RunLogonScriptSync Value deleted successfully.
C:\Windows\System32\%APPDATA% moved successfully.

==== End of Fixlog ====
lg Dave

schrauber 26.09.2012 17:59
Jetzt darfst Du mir freudig mitteilen dass der Rechner wieder normal bootet :)

Dave.13 26.09.2012 20:47
Okay, Ja er bootet wieder normal.

schrauber 27.09.2012 06:23
Supi, dann gehts jetzt im Normalmodus weiter :)


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.
Code:
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131